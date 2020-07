Einer der betroffenen VPN-Dienste: FlashVPN Grafik: FlashVPN

Es gehört zu den zentralen Versprechen der meisten VPN-Anbieter: Selbstverständlich würde man den eigenen Dienst nie nutzen, um die Internetaktivitäten der eigenen Nutzer auszuspionieren. Zweifel an solchen Aussagen gab es schon immer, ein aktueller Vorfall gibt diesen Befürchtungen nun aber neue Nahrung.

Riesiger Datenbank

Sicherheitsforscher haben 1,2 Terabyte an Nutzungsdaten von insgesamt sieben VPN-Anbietern frei zugänglich auf Servern der jeweiligen Anbieter gefunden. Darin enthalten mehr als eine Milliarde Log-Einträge mit allem, was man sich so an sensiblen Daten vorstellen kann: Passwörter im Klartext, echte IP-Adressen der Nutzer, Standortinformationen und Wohnadressen, Details zu den genutzten Devices und Softwareversionen und natürlich ein Protokoll aller VPN-Server und zum Teil auch jener Webseiten zu denen sich die Nutzer verbunden haben. Zum Teil sollen auch Informationen zu Bitcoin- und Paypal-Transfers gezielt gesammelt worden sein. Was diese Angelegenheit besonders pikant macht: Sämtliche dieser Anbieter versichern, keinerlei Logs über ihre Nutzer anzulegen.

Aufgedeckt wurde Vorfall von Bob Diachenko bei Comparitech, der vor einigen Tagen auf eine 894 GB große Datenbank an Daten über Nutzer von UFO VPN gestoßen ist. Diese war über eine ungeschützte Elasticsearch-Instanz für alle offen zugänglich und konnte bequem durchsucht werden. Wenige Tage später wurde dann danke einer Folgerecherche von VPNMentor klar, dass noch weitere sechs VPN-Anbieter von ähnlichen Problemen geplagt sind. Konkret geht es dabei um FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, und Rabbit VPN. Was sie eint: Alle haben sie ihren Sitz in Hong Kong, und hinter allen scheint der gleiche Besitzer zu stehen – die Firma Dreamfii HK Limited.

Einige der von UFO VPN mitgeloggten Daten. Grafik: Comparitech

Reaktion

Bei UFO VPN hat man auf eine Warnung von Diachenko mittlerweile reagiert, und zumindest den öffentlichen Zugriffe auf die Datenbank beendet. Gleichzeitig betont man, dass die gesammelten Logs nur aus "Performance-Analyse-Gründen" gesammelt werden. Auch erfolge die Speicherung anonymisiert. Dies widerspricht allerdings der Entdeckung der Sicherheitsforscher, die auch bei UFO eindeutig zuordenbare Daten wie IP-Adressen gefunden haben. Von den anderen Dienste, die zum Teil noch mehr Daten als UFO VPN gesammelt haben, gab es zunächst keinerlei Reaktion.

Ein mitgeloggter Zahlungsverlauf. Grafik: VPNMentor

Comparitech und VPNMentor raten bestehenden Nutzern der erwähnten Dienste zumindest so schnell wie möglich ihre Passwörter zu ändern, und sich dann nach Alternativen umzusehen. Für Branchenbeobachter kommt der Vorfall nicht sonderlich überraschend. Viele VPN-Anbieter würden mit falschen Versprechen werben, betont etwa Kenneth White, Sicherheitsforscher bei MongoDB gegenüber The Register. Zum Teil würden hinter solchen Firmen auch kriminelle Organisationen stehen. Für die Nutzer sei es generell sehr schwer, im Wust der VPN-Anbieter eine vertrauenswürdige Lösung zu finden. (red, 20.07.2020)